Koszty naruszeń bezpieczeństwa danych w firmach stale rosną. Co więcej, nowe badanie wykazało, że ich skutki finansowe mogą ciągnąć się za firmami jeszcze przez długie lata. Jak wynika z raportu 2019 Cost of a Data Breach Report opublikowanego w tym tygodniu przez Ponemon Institute, naruszenie bezpieczeństwa danych kosztuje obecnie firmy średnio 3,92 mln dolarów w sakli globalnej. Oznacza to, że kwota ta wzrosła o 12% w ciągu ostatnich pięciu lat.
Raport sporządzono w oparciu o badanie incydentów przeprowadzone w 507 firmach. Wynika z niego, że głównymi czynnikami powodującymi wzrost kosztów są wieloletnie skutki finansowe naruszeń, zwiększone obciążenie regulacyjne oraz złożone procesy likwidacji skutków działalności przestępców.
W tym roku po raz pierwszy w długiej historii sporządzania raportu autorzy z instytutu Ponemon zbadali długoterminowe skutki naruszeń bezpieczeństwa. W tym celu zbadali dane pochodzące z 86 firm, które w różnych latach doświadczyły znaczących incydentów tego typu. Jak wykazał raport, około 1/3 całkowitych kosztów naruszenia przypada na nieco ponad rok od momentu jego wystąpienia. Około 22% kosztów występuje w drugim roku, a 11% — dwa lata po naruszeniu bezpieczeństwa.
„Długoterminowe koszty naruszeń były wyższe w drugim i trzecim roku w przypadku organizacji działających w środowiskach, które podlegają ścisłym regulacjom, takich jak finanse i opieka zdrowotna” — czytamy w raporcie. Z jego treści możemy dowiedzieć się również, że 48% kosztów naruszeń w ściśle regulowanych firmach przypada na okres po upłynięciu pierwszego roku od incydentu.
O tej dynamice mogą świadczyć choćby ostatnie wiadomości dotyczące firmy Equifax, która dopiero po upływie dwóch lat od ogromnego naruszenia bezpieczeństwa danych 150 milionów osób wypłaca klientom nałożone przez rząd federalny i stanowy odszkodowania na łączną kwotę 700 mln dolarów. Prawdopodobnie tego typu długofalowe koszty będą teraz rosły jeszcze bardziej z uwagi na istnienie systemów regulacyjnych — takich jak ogólne unijne rozporządzenie o ochronie danych (RODO) i kalifornijska ustawa o ochronie prywatności konsumentów (CCPA).
„Firma Equifax miała tak naprawdę dużo szczęścia, ponieważ naruszenie nastąpiło przed wejściem w życie takich regulacji jak RODO czy CCPA. W obliczu obowiązywania RODO jesteśmy już świadkami ogromnych grzywien nakładanych na firmy, takie jak Marriott czy British Airways” — podkreśla Anurag Kahol, dyrektor ds. technicznych w firmie Bitglass. „Ustawa CCPA, która ma wejść w życie w styczniu 2020 roku, przewiduje grzywny ‚nie mniejsze niż 100 dolarów i nie większe niż 750 dolarów, w przeliczeniu na konsumenta na incydent, albo w wysokości faktycznych szkód, w zależności od tego, która z tych kwot będzie większa’. Oznacza to, że gdyby CCPA obowiązywała w czasie naruszenia w firmie Equifax, nałożona kara mogłaby wynieść nawet 110 mld dolarów”.
Badanie przeprowadzone przez Ponemon wykazało również, że cykl życia samych naruszeń ulega wydłużeniu. Czas mierzony od momentu wystąpienia naruszenia do jego całkowitego opanowania wzrósł w ostatnim roku o 4,9% — z 266 dni w 2018 r. do 279 dni w roku 2019. Większość tej wartości przypada na okres, w którym atakujący są w stanie działać, zanim zostaną wykryci: średni czas do wykrycia naruszenia wynosi bowiem 206 dni, podczas gdy średni czas usuwania skutków naruszenia to 73 dni.
Pomiar cyklu życia naruszeń stanowi kluczowy wskaźnik związany z ich kosztami, ponieważ te można znacznie zredukować poprzez jego skrócenie. Naruszenia, których cykl życia nie przekracza 200 dni, generują o 37% niższe koszty niż naruszenia o dłuższym cyklu życia, co daje średnie oszczędności na kwotę 1,22 miliona dolarów.
Badanie wykazało, że zarówno najczęstszą, jak i najdroższą pierwotną przyczyną naruszeń są złośliwe ataki, a ponoszone wydatki wynikają prawdopodobnie w głównej mierze z czasu potrzebnego na zidentyfikowanie i powstrzymanie spowodowanych nimi naruszeń. Od 2014 roku odsetek naruszeń będących następstwem złośliwych ataków wzrósł o 21%, a w roku 2019 stanowiły one przyczynę nieco ponad połowy przypadków naruszenia bezpieczeństwa danych. Co ważne, cykl życia tego typu naruszeń jest o 12,5% dłuższy od przeciętnego i wynosi 314 dni, a koszt ich usunięcia jest większy niż w przypadku innych typów naruszeń i wynosi średnio 4,45 mln dolarów. To o 27% więcej w porównaniu z naruszeniami wynikających z błędów ludzkich i o 37% więcej od naruszeń spowodowanych błędami systemu.
Obecnie średni koszt naruszenia bezpieczeństwa w firmach wynosi 150 dolarów w przeliczeniu na każdy utracony rekord, podczas gdy w ubiegłym roku było to 148 dolarów. Czynniki, które w największym stopniu przyczyniły się do obniżenia tych kosztów, to przede wszystkim stosowanie szyfrowania, zachowanie ciągłości działalności, DevSecOps oraz współdzielenie informacji o zagrożeniach.